La autenticación tiene un rol fundamental en la seguridad de las aplicaciones web, pues todas las subsecuentes decisiones en seguridad se basan comúnmente sobre la identidad establecida por las credenciales proporcionadas; generalmente un nombre de usuario y contraseña. En este Webinar Gratuito se expondrán ejemplos prácticos sobre los tipos más comunes de amenazas contra los mecanismos de autenticación web.
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
Webinar Gratuito: Amenazas contra la Autenticación Web
1. Amenazas contra la
Autenticación Web
Webinar
Gratuito
Alonso Eduardo Caballero Quezada
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Sitio Web: https://www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com
Jueves 3 de Febrero 2022
2. Alonso Eduardo Caballero Quezada -:- Sitio web: https://www.reydes.com -:- e-mail: reydes@gmail.com
Alonso Eduardo Caballero Quezada
EXIN Ethical Hacking Foundation Certificate, LPIC-1 Linux Administrator
Certified, LPI Linux Essentials Certificate, IT Masters Certificate of Achievement
en Network Security Administrator, Hacking Countermeasures, Cisco CCNA
Security, Information Security Incident Handling, Digital Forensics, Cybersecurity
Management Cyber Warfare and Terrorism, Enterprise Cyber Security
Fundamentals, Phishing Countermeasures Pen Testing, Certificate Autopsy
Basics and Hands On, ICSI Certified Network Security Specialist y OSEH.
Más de 18 años de experiencia como consultor e instructor independiente en las
áreas de Hacking Ético y Forense Digital. Ha dictado cursos presenciales y
virtuales en Ecuador, España, Bolivia y Perú, presentándose también
constantemente en exposiciones enfocadas a Hacking Ético, Forense Digital,
GNU/Linux.
4. Alonso Eduardo Caballero Quezada -:- Sitio web: https://www.reydes.com -:- e-mail: reydes@gmail.com
Atacar la Autenticación
La autenticación es conceptualmente uno de los mecanismos de seguridad más
sencillos empleados dentro de las aplicaciones web. El caso más simple es
cuando un usuario proporciona un nombre de usuario y contraseña, luego la
aplicación verificará si son correcto. Si lo son, se le permitirá al usuario entrar,
caso contrario, no.
También es la base de protección contra ataques maliciosos contra la aplicación.
Es la primera linea de defensa contra acceso no autorizado. Si un atacante
derrota estas defensas, ganará acceso sin restricción hacia los datos. Sin una
autenticación robusta en la cual basarse, ninguno de los otros mecanismos de
seguridad serán efectivos.
En la aplicaciones del mundo real, la autenticación suele ser el eslabón más
débil, lo cual permite al atacante obtener acceso no autorizado.
5. Alonso Eduardo Caballero Quezada -:- Sitio web: https://www.reydes.com -:- e-mail: reydes@gmail.com
Tecnologías para la Autenticación
Existe un amplio rango de tecnologías disponibles para los desarrolladores de
aplicaciones web, implementen mecanismos de autenticación:
●
Autenticación basada en formularios HTML
●
Mecanismos multifactor, como aquellas combinando contraseñas y tokens
físicos
●
Certificados SSL/TLS para el cliente / o tarjetas inteligentes
●
Autenticación HTTP básica (basic) y resumen (digest)
●
Autenticación Integrada Windows utilizando NTLM o Kerberos
●
Servicios de autenticación
De lejos uno de los mecanismos de seguridad más empleados en las aplicaciones
web son los formularios HTML, donde se obtiene el nombre de usuario y
contraseña, para luego ser enviado hacia la aplicación.
6. Alonso Eduardo Caballero Quezada -:- Sitio web: https://www.reydes.com -:- e-mail: reydes@gmail.com
Fallas de Diseño Mecanismos de Autenticación
●
Contraseñas inadecuadas
●
Fuerza bruta al login
●
Mensajes verbosos de fallas
●
Transmisión vulnerable de credenciales
●
Funcionalidad para el cambio de contraseña
●
Funcionalidad para el olvido de la contraseña
●
Funcionalidad de “recordarme”
●
Funcionalidad para la suplantación del usuario
●
Validación incompleta de credenciales
●
Nombres de usuario no únicos
●
Nombres de usuario predecibles
●
Contraseñas iniciales predecibles
●
Distribución insegura de credenciales
7. Alonso Eduardo Caballero Quezada -:- Sitio web: https://www.reydes.com -:- e-mail: reydes@gmail.com
Fallas de Implementación en Autenticación
Incluso un mecanismo bien diseñado para la autenticación, puede ser altamente
insegura debido a errores en su implementación. Estos errores pueden conducir
hacia fuga de información, evadir completamente el login, o debilitar toda la
seguridad del mecanismo diseñado.
Las fallas de implementación tienden a ser más sutiles y difíciles de detectar
comparado con los defectos en el diseño.
●
Mecanismos de login “Fail-Open”
●
Defectos en los mecanismos de login de múltiples etapas
●
Almacenamiento inseguro de credenciales
8. Alonso Eduardo Caballero Quezada -:- Sitio web: https://www.reydes.com -:- e-mail: reydes@gmail.com
Curso Virtual de Hacking Aplicaciones Web
Más Información: https://www.reydes.com/d/?q=Curso_de_Hacking_Etico
e-mail: reydes@gmail.com Sitio Web: https://www.reydes.com
10. Alonso Eduardo Caballero Quezada -:- Sitio web: https://www.reydes.com -:- e-mail: reydes@gmail.com
Cursos Virtuales Disponibles en Video
Curso Virtual de Hacking Ético
https://www.reydes.com/d/?q=Curso_de_Hacking_Etico
Curso Virtual de Hacking Aplicaciones Web
https://www.reydes.com/d/?q=Curso_de_Hacking_Aplicaciones_Web
Curso Virtual de Informática Forense
https://www.reydes.com/d/?q=Curso_de_Informatica_Forense
Curso Virtual Hacking con Kali Linux
https://www.reydes.com/d/?q=Curso_de_Hacking_con_Kali_Linux
Curso Virtual OSINT - Open Source Intelligence
https://www.reydes.com/d/?q=Curso_de_OSINT
Curso Virtual Forense de Redes
https://www.reydes.com/d/?q=Curso_Forense_de_Redes
Y todos los cursos virtuales:
https://www.reydes.com/d/?q=cursos
11. Alonso Eduardo Caballero Quezada -:- Sitio web: https://www.reydes.com -:- e-mail: reydes@gmail.com
Más Contenidos
Videos de 73 webinars gratuitos
https://www.reydes.com/d/?q=videos
Diapositivas de los webinars gratuitos
https://www.reydes.com/d/?q=eventos
Artículos y documentos publicados
https://www.reydes.com/d/?q=documentos
Blog sobre temas de mi interés
https://www.reydes.com/d/?q=blog/1
12. Amenazas contra la
Autenticación Web
Webinar
Gratuito
Alonso Eduardo Caballero Quezada
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Sitio Web: https://www.ReYDeS.com -:- e-mail: ReYDeS@gmail.com
Jueves 3 de Febrero 2022